Salarisstroken beschikbaar via één (discutabele) methode

Op papier eigenlijk totaal geen problemen mee
Onbeveiligde PDF in privé mail... Tsja, daar belanden nog wel eens serieuzere en belangrijkere onbeveiligde PDF's in
Portal met (gebruikersnaam en) wachtwoord zou een beetje de norm moeten zijn ondertussen, kijkend naar een speler als ADP.
Maar vervolgens met enkel Google Authenticator? 6 cijfers invoeren en je bent er? Nog steeds kans van 1 op een miljoen dat 6 random cijfers mijn huidige code is... Maar dat is een beetje een vreemde manier van authenticeren. Of gaat dit om GA bovenop gebruikersnaam en wachtwoord? 2FA is in 't algemeen wel aan te moedigen, waar het gebrek aan een 2e keuze (SMS of andere app) over te discussiëren valt. En wat eraan doen? Werkgever aansporen om een andere accountant te zoeken of van werkgever wisselen? Niet bijzonder veel lijkt me

rookie no. 1 schreef op woensdag 12 juni 2019 @ 21:29:
Ik heb er natuurlijk een mening over en ben benieuwd naar die van anderen en ook vooral wat je hieraan zou kunnen doen.

En wat is jouw mening dan? Want uiteindelijk, en dan mag je zelf even bedenken of je er ook een mening over hebt; met een beetje keylogger of anderszins stukje spyware, zie ik alsnog natuurlijk hoeveel je verdient.

Andere insteek: als ik het zo lees moet / verwacht je een nog betere beveiliging / toegang tot je loonstroken. Wel weer grappig want je uiteindelijke fiscale stukken (belastingaangifte), kom je ook gewoon in met iets "stoms" als user/pass en misschien een SMS.

En zat mensen hebben hun smartphone op lockscreen staan maar wel met notificaties zichtbaar; want stel dat je een post op FB van Tante Sjaan mist. Ja, maar die SMS van de overheid zie ik dan ook als ik je smartphone gejat heb.

Ik ben blij dat er vooruitgang zit in de beveiliging?

Hoef je alleen die 6-cijferige code in te voeren of ook nog een 'normaal' wachtwoord? Want de Google Authenticator (of een kloon, het is een open standaard) is een goedkope manier om 2FA te implementeren die (mijns inziens) niet onder doet voor dure varianten van RSA of Vasco die hetzelfde doen...

Als je alleen de cijfers (en een username) in hoeft te voeren dan hoop ik dat er een lockout policy op zit dat je na 3 keer een uur moet wachten of zo. Die zou er sowieso op mogen, maar veel sites hebben dat niet.

Wij (bedrijf met 7k medewerkers) krijgen de salarisstrook ook als onbeveiligde PDF via een met 2FA beveiligde portal, ik heb er geen problemen mee.

PFSL->PB

Om die codes te generen kan je ook Authy gebruiken. Googles 2fa (hoe je totp codes genereert iig) is een open standaard

[ Voor 16% gewijzigd door Rmg op 12-06-2019 23:31 ]

MAX3400 schreef op woensdag 12 juni 2019 @ 21:43:
[...] Andere insteek: als ik het zo lees moet / verwacht je een nog betere beveiliging / toegang tot je loonstroken. Wel weer grappig want je uiteindelijke fiscale stukken (belastingaangifte), kom je ook gewoon in met iets "stoms" als user/pass en misschien een SMS.

En zat mensen hebben hun smartphone op lockscreen staan maar wel met notificaties zichtbaar; want stel dat je een post op FB van Tante Sjaan mist. Ja, maar die SMS van de overheid zie ik dan ook als ik je smartphone gejat heb.

Wat is dit nou weer voor 'whataboutism'. Dat de rest het fout doet betekent niet dat je je er geen zorgen over hoeft te maken, toch?

@rookie no. 1 Ik ben het wel met je eens. Onze oude salarisverwerker had ook nog een onbeveiligde login. Toen ik hier stennis over ben gaan schoppen is er een TLS-verbinding gekomen maar die scoorde nog steeds maar een B op de SSL-labs test. Nu zitten we bij Afas, waar recent eindelijk 2FA introduceert is.

rookie no. 1 schreef op woensdag 12 juni 2019 @ 23:24:
[...] Wat me alleen enorm stoort is dat je maar via 1 partij (Google Authenticator) toegang kunt krijgen [...]

Google Authenticator is slechts één van de vele tools die zo'n code kunnen genereren. Er zijn er ook genoeg opensource. Zoek hier maar eens naar.

[ Voor 25% gewijzigd door Room42 op 12-06-2019 23:36 ]

rookie no. 1 schreef op woensdag 12 juni 2019 @ 23:24:
Wat me alleen enorm stoort is dat je maar via 1 partij (Google Authenticator) toegang kunt krijgen [..] Dat is nou net de partij waar ik bij voorkeur niets van wil hebben

Dan neem je een andere app; de GA gebruikt een open standaard.
https://www.bing.com/sear...uthenticator+alternatives

Room42 schreef op woensdag 12 juni 2019 @ 23:31:
die scoorde nog steeds maar een B op de SSL-labs test.

Wat al redelijk hoog is Out of the box halen veel producten dat niet (veel gelukkig ook wel), en de meeste vulnerabilities zetten je terug naar een F.

A of A+ is natuurlijk het beste (en redelijk simpel te halen), maar staar je er ook niet blind op; TLS configuratie is maar een heel klein deel, er zijn veel belangrijker dingen die je niet zo makkelijk test. Als je een A+ scoort maar de site je in laat loggen met admin/admin ben je alsnog de sjaak.

Paul schreef op woensdag 12 juni 2019 @ 23:38:
[...]

Wat al redelijk hoog is Out of the box halen veel producten dat niet (veel gelukkig ook wel), en de meeste vulnerabilities zetten je terug naar een F.

Sorry, ik vergis me, het was veel slechter. Het moet een C of lager geweest zijn. Precies weet ik het niet meer, het was in ieder geval slecht. Er draaide nog veel oude Ciphers etc.

A of A+ is natuurlijk het beste (en redelijk simpel te halen), maar staar je er ook niet blind op; TLS configuratie is maar een heel klein deel, er zijn veel belangrijker dingen die je niet zo makkelijk test. Als je een A+ scoort maar de site je in laat loggen met admin/admin ben je alsnog de sjaak.

Inderdaad door het gebrek aan de basisbeveiliging, vertrouwde ik de zaak helemaal niet. Het zal niet de hoofdreden geweest zijn, maar we hebben er maar een paar maanden gezeten voordat ze overstapten.

Ik gebruik zelf altijd die van LastPass, kan je ook als vervanger voor Google gebruiken en die heeft dan (in ieder geval op iPhone) ook nog TouchID nodig om de app te openen.

Verder denk ik dat, juist vanwege het gebrek aan kennis bij de meeste mensen, ze niet zullen kiezen om een hele lijst met authenticator-apps voor te schotelen, want dan snapt het merendeel het niet meer. Google kent iedereen, en er lijkt me op zich weinig op tegen om die app te gebruiken.

Mijn salarisstroken komen per reguliere analoge post. Enkel beschermd door het briefgeheim.

Het enige punt dat ik zie is dat op ‘grote’ schaal loongegevens buit zouden kunnen worden gemaakt als de beveiliging niet op orde is.

Erg praktisch is het niet. En geeft ook weinig vertrouwen.

Verder soit.

Paul schreef op woensdag 12 juni 2019 @ 23:38:
[...]
Wat al redelijk hoog is Out of the box halen veel producten dat niet (veel gelukkig ook wel), en de meeste vulnerabilities zetten je terug naar een F.

A of A+ is natuurlijk het beste (en redelijk simpel te halen), maar staar je er ook niet blind op; TLS configuratie is maar een heel klein deel, er zijn veel belangrijker dingen die je niet zo makkelijk test. Als je een A+ scoort maar de site je in laat loggen met admin/admin ben je alsnog de sjaak.

Om een A+ te halen bij SSLlabs heb je alleen nodig dat je HSTS aan hebt staan... en dan krijg je zelfs op een gratuit Let's Encrypt certificaat een A+

Daarnaast lees ik

Wat me alleen enorm stoort is dat je maar via 1 partij (Google Authenticator) toegang kunt krijgen tot je eigen gegevens die je regelmatig nodig hebt (belastingaangifte, hypotheek, etc.). Dat is nou net de partij waar ik bij voorkeur niets van wil hebben*

En laat die 2FA-app nou niets anders doen dan een paar cijfers uitpoepen. Die app heeft 0 aan toegang tot je belastingaangifte of hypotheek. Iets met klok en klepel

Een systeem beveiligd met 2FA, dat klinkt helemaal prima. Beter geregeld dan bij de meeste bedrijven volgens mij.

Je kan vrijwel elke 2FA app gebruiken voor die Google Auth tokens. Ik gebruik zelf gewoon mijn 1password daarvoor. Werkt prima. Is een open standaard dus dit is juist een voorbeeld van goed werkgeverschap in de digitalisering (alhoewel wat laat).

Ik krijg ze nog via prive mail in open PDF en dat vind ik prima. Portal zou ik al minder fijn vinden omdat ik dan actief moet zoeken naar mijn info. 2FA zou me dan niet zoveel meer uitmaken als extra. Qua veiligheid prima.

nldls schreef op vrijdag 14 juni 2019 @ 09:56:
Ik krijg ze nog via prive mail in open PDF en dat vind ik prima. Portal zou ik al minder fijn vinden omdat ik dan actief moet zoeken naar mijn info. 2FA zou me dan niet zoveel meer uitmaken als extra. Qua veiligheid prima.

Het grootste probleem zijn alle privégegevens die bij elkaar staan in zo'n strookje, zoals je BSN, werkgever, volledige naam, etc. Daarmee wordt identiteitsfraude wel erg makkelijk. Dat zou ik niet over plain text mail willen hebben.

Een deel van de mailservers doet wel TLS (en een aantal partijen geven de mail een lagere (of hogere, net hoe je kijkt) spam-score als je het niet gebruikt). Om te zien of er TLS gebruikt is kun je de headers van de mail opvragen en bij de Received: regels (dit zijn er vaak meerdere) kijken naar iets dat lijkt op dit voorbeeld van een Office365 mailserver:

(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)

Je kunt het niet afdwingen (teveel servers doen namelijk geen TLS en dan komt je mail helemaal niet aan) dus het is geen goed mechanisme om onbeveiligde salarisstroken te sturen, maar als ontvanger heb je daar niet vaak invloed op, en zo kun je in ieder geval kijken of de mail encrypted verzonden is.

Helaas is het ontbreken van zo'n stukje geen garantie dat het plain text is verzonden, sommige mailservers geven deze info niet prijs in de header, maar als het er wel staat kun je er van op aan dat die connectie encrypted was.

rookie no. 1 schreef op woensdag 12 juni 2019 @ 23:24:

Maar goed, kennelijk is het normaal dat je hierin geen keuze hebt tegenwoordig. Ik zou het bijna weer liever op papier hebben, maar ook dat is niet meer een keuze.


*Al ga ik wel voor het einde van het jaar over van Windows 10m naar Android, zei het met frisse tegenzin...

Nee, dat is niet waar. Pin me er niet op vast dat hoe ik het formuleer 100% juist is, maar er is iets in de volgende trant:

De werknemer moet op een manier die toegankelijk is voor hem/haar in staat gesteld worden om over belangrijke documenten te beschikken.

Dat kan, in het slechtste geval betekenen dat zij jou een fysiek exemplaar moeten overhandigen.

EDIT: Dit dus:

http://www.arbeidsovereen...oonstrook-te-verstrekken/

En onze welbekende Arnoud:

https://www.security.nl/p...loonstrookjes+weigeren%3F

[ Voor 14% gewijzigd door KnoxNL op 14-06-2019 10:29 ]

Ik zie er geen problemen in, zie alleen maar voordelen en vooruitgang dat ze bezig zijn met 2FA. Dat ze voorheen per post / PDF gestuurd werden, ja dat was in het verleden eigenlijk altijd wel het geval, dus echt spannend is dat niet.

Als je Google Authenticator kunt gebruiken kun je ook die van Microsoft gebruiken, of Amazon, of een ontwikkelaar die je meer vertrouwd. Dat is hetzelfde als die kastjes van banken, die kun je ook voor meer dan een bank gebruiken omdat ze dezelfde beveiliging gebruiken.

Ik krijg mijn salarisstroken ook in mijn privémail, dat lijkt me juist handiger. Volgens mij heb ik dat zelf ooit ingesteld in de portal die bij ons gebruikt wordt. Dan kan je werkgever ook niet de toegang afsluiten.

[ Voor 29% gewijzigd door Marzman op 14-06-2019 10:53 ]

@rookie no. 1 Graag gedaan.

Om redenen in jouw laatste post MAG dat dus ook niet.

Ik werk zelf bij 1 van de grotere bedrijven in NL, met een kwetsbare doelgroep als werknemers, vandaar dat ik enigzins bekend ben met deze materie.

Niet alleen ouderen, die techniek lastig vinden, maar wij hebben ook mensen in dienst die lager opgeleid zijn, de taal niet spreken (ook geen engels) die ondanks dat ze nog jong zijn nog nooit een smartphone of computer in bezit gehad hebben etc,.

Dan MOET je dus de loonstrook fysiek aanleveren.

rookie no. 1 schreef op vrijdag 14 juni 2019 @ 11:21:
[...]We hebben ook oudere werknemers zonder smartphone en met weinig kennis portals/tokens en dat soort dingen. Dan is het nogal wat om dat zo vast te stellen als accountant voor je klanten en diens medewerkers.

Die oudere werknemers kunnen vast wel met het bedrijf regelen dat ze papieren loonstroken krijgen.

EnigmaNL schreef op vrijdag 14 juni 2019 @ 11:24:
[...]


Die oudere werknemers kunnen vast wel met het bedrijf regelen dat ze papieren loonstroken krijgen.

Het bedrijf zal daaraan moeten meewerken. Dat ze het proberen af te houden en niet actief communiceren is iets anders.

Ik denk dat de werkgever enkel Google authenticator aangeeft omdat dat 'bekend' is. Menig persoon gaat niet zelf zoeken naar alternatieven en als het vertrouwt klinkt(wat velen hebben alsnog bij Google) dan is het OK.

@rookie no. 1
Die Google app maakt gebruikt van https://en.wikipedia.org/...e-time_Password_algorithm

Elke app die dit protocol implementeerd kan je gebruiken. Google Authenticator is alleen de meest bekende.

rookie no. 1 schreef op donderdag 13 juni 2019 @ 23:07:
Goed om te horen dat andere authenticators te gebruiken zijn die kennelijk dezelfde open standaard volgen.

Op zich goed om te melden aan je klanten/gebruikers als leverancier, dit weten niet veel mensen als ze alleen maar naar 1 product gestuurd worden op de site en documentatie.

Binnenkort even testen en dan weer een 'share the knowlegde' momentje op kantoor

Dank allen!

Nog een beetje additionele context - de Google Authenticator heeft verder meestal geen koppeling met Google. Dit is iets wat je zelf op je server hebt draaien, en verder niet meer met Google praat. Zoals eerder gezegd kun je ook andere apps gebruiken voor de code, ik raad ook Authy aan (mogelijkheid backups is fijn).

Dit t.o.v. bijvoorbeeld Google ReCAPTCHA, wat wel altijd contact heeft met Google.


Wat de oudere generatie betreft, op een gegeven moment bereik je zo'n groot publiek dat de uitzonderingssituatie <1% van de bevolking raakt. Om dan de veiligheid van 99% in gevaar te brengen is geen logische of financieel solide beslissing. Dan bied je inderdaad een alternatief aan als per post of telefonisch afhankelijk van de dienst. Dat soort uitzonderingen anders oplossen kost over het algemeen een veelvoud meer geld.

[ Voor 19% gewijzigd door Zebby op 14-06-2019 12:29 ]

Room42 schreef op vrijdag 14 juni 2019 @ 09:58:
[...]

Het grootste probleem zijn alle privégegevens die bij elkaar staan in zo'n strookje, zoals je BSN, werkgever, volledige naam, etc. Daarmee wordt identiteitsfraude wel erg makkelijk. Dat zou ik niet over plain text mail willen hebben.

Ik begrijp de theorie, maar persoonlijk zou ik het nog steeds liever via de e-mail hebben zodat ik ze altijd nog heb zonder dat ik alles handmatig moet gaan opslaan ergens weer.

Werkgever en volledige naam zijn nou niet bepaald een geheim. BSN is enige wat nog iets 'geheim' is, maar ook dat is nou niet een echt goed bewaard geheim.

Sissors schreef op vrijdag 14 juni 2019 @ 15:06:
[...] Werkgever en volledige naam zijn nou niet bepaald een geheim. BSN is enige wat nog iets 'geheim' is, maar ook dat is nou niet een echt goed bewaard geheim.

Het gaat om de combinatie die het gevaarlijk maakt.

Room42 schreef op vrijdag 14 juni 2019 @ 15:42:
[...]

Het gaat om de combinatie die het gevaarlijk maakt.

Blijf ik zo leuk vinden voor ZZP'ers. Daar is gewoon de combinatie zo beschikbaar!

Niet (lang) meer

Paul schreef op vrijdag 14 juni 2019 @ 18:03:
Niet (lang) meer

Klopt, maar dat betekent helaas niet dat hij dus niet meer rondzwerft

Leuk dat je in 2020 een nieuw BTW nummer (kan) krijgen. Maar ze zouden juist, om identiteitsfraude tegen te gaan, diegene juist een nieuwe BSN nummer moeten geven (hoeveel rompslomp dat ook is).

[ Voor 23% gewijzigd door Ryur op 14-06-2019 18:13 ]

Room42 schreef op vrijdag 14 juni 2019 @ 15:42:
[...]

Het gaat om de combinatie die het gevaarlijk maakt.

BSN wordt volgens mij echt letterlijk nergens bewaard of ingezien waar niet de volledige naam ook erbij staat, dus de koppeling BSN <> naam is er al regelmatig. Naam <> werkgever staat overal en is echt totaal geen geheim. Oftewel overal waar mijn BSN is, is mijn naam ook. En iedereen die mijn naam kent kan zo mijn werkgever uitvogelen. Een geboortedatum is dan nog een stuk belangrijker, die wordt vaak gebruikt bij helpdesken enzo om te verifiëren dat jij het bent.

Verwijderd schreef op donderdag 13 juni 2019 @ 23:31:
Het enige punt dat ik zie is dat op ‘grote’ schaal loongegevens buit zouden kunnen worden gemaakt als de beveiliging niet op orde is.

15 jaar geleden is een een auto van ons gestolen waar alle enveloppen voor de loonstrookjes in zaten (op weg naar het postkantoor). Niets nieuws in de wereld.

Even een zijsprongetje, nav. de opmerking over sms. In principe is sms als tweede factor een verbetering tov. alleen gebruikersnaam en wachtwoord. Alleen is sms vrij eenvoudig te onderscheppen en biedt daardoor geen beveiliging als iemand echt een gerichte aanval wil doen. Prima misschien voor je loonstrookje, maar wees je er van bewust dat sms geen goede optie is om bijvoorbeeld je Bitcoin wallet mee te beveiligen.

Bedrijven die MFA aanbieden aan hun werknemers schakelen de sms-optie doorgaans dan ook uit, of zouden dat moeten doen.